PRAKTYCZNE ASPEKTY STOSOWANIA NOWYCH STANDARDOWYCH KLAUZUL UMOWNYCH (SKU)

Standardowe klauzule umowne (SKU) zgodnie z art. 46 RODO stanowią jeden z mechanizmów umożliwiających transfer danych osobowych do państw znajdujących się poza Europejskim Obszarem Gospodarczym (EOG), wobec których nie została wydana decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony.

Warto w tym miejscu przypomnieć, że zgodnie z Decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, transfer danych poza obszar EOG na podstawie standardowych klauzul umownych wymaga przyjęcia klauzul, o których mowa ww. decyzji. Ostateczny termin na przyjęcie nowych standardowych klauzul umownych minął 27 grudnia 2022 r.

W związku z pojawieniem się wielu wątpliwości z zakresu stosowania nowych SKU, przedstawiamy podsumowanie najważniejszych praktycznych pytań i odpowiedzi, które mogą pomóc w prawidłowym przeprowadzeniu procesu wymiany SKU dla transferów danych.

1. Dlaczego Komisja Europejska podjęła decyzję o aktualizacji SKU?

Na mocy poprzednio obowiązującej dyrektywy o ochronie danych (dyrektywa 95/46/WE) Komisja przyjęła trzy zestawy standardowych klauzul umownych, z czego dwa dotyczyły przekazywania danych osobowych od administratora znajdującego się w EOG do administratora znajdującego się poza EOG, z kolei trzeci zestaw dotyczył przekazywania danych przez administratora znajdującego się w EOG do podmiotu przetwarzającego spoza EOG. Po wejściu w życie przepisów RODO ww. klauzule w dalszym ciągu pozostawały w mocy, stanowiąc jeden z możliwych mechanizmów przekazywania danych osobowych poza obszar EOG na mocy rozdziału V RODO, jednakże w dalszym ciągu istniała potrzeba dostosowania SKU do najnowszych ram prawnych.

Ponadto niezbędne okazało się dostosowanie dokumentu do realiów nowoczesnej gospodarki cyfrowej, często charakteryzującej się również bardziej złożonymi łańcuchami w zakresie przekazywania danych osobowych pomiędzy różnymi podmiotami, np. przekazywania danych pomiędzy dwoma podmiotami przetwarzającymi.

2. Jakie wymagania należy spełnić w zakresie prawidłowego podpisania dokumentu SKU?

Prawidłowe zawarcie standardowych klauzul umownych wymaga przede wszystkim wypełnienia niezbędnych załączników stanowiących integralną cześć klauzul, w tym wskazania danych kontaktowych stron umowy, jak również informacji w zakresie ról pełnionych przez poszczególne podmioty (tj. wskazania czy podmiot działa jako administrator danych, czy jako podmiot przetwarzający dane). Należy podkreślić, że kwestia sposobu sformalizowania podpisu klauzul pozostawiona została bezpośrednio państwom członkowskim, a więc w tym zakresie niezbędne jest spełnienie wymogów wynikających z ustawodawstwa krajowego, któremu podlega umowa.

3. Czy możliwe jest modyfikowanie treści SKU?

Tekst SKU może być zmieniany wyłącznie w miejscach do tego przeznaczonych, tj. w zakresie wyboru modułów oraz w poszczególnych klauzulach wymagających stosownego uzupełnienia w miejscach odpowiednio oznaczonych. Przykładowo może to dotyczyć wyboru właściwego organu nadzorczego, czy też dookreślenia zabezpieczeń zapewniających wyższy poziom ochrony danych.

W pozostałym zakresie modyfikacja treści SKU nie jest zakazana, jednakże należy mieć na uwadze, iż jej wprowadzenie będzie skutkowało pozbawieniem danej umowy swoistej pewności prawnej jaką oferuje regulacja prawna wydana przez Unię Europejską. W praktyce więc, przyjęta umowa nie będzie już miała charakteru standardowych klauzul umownych, które mogą stanowić podstawę prawną transferu danych poza obszar EOG na mocy rozdziału V RODO.

4. Czy możliwe jest przystąpienie danego podmiotu do zawartych już SKU?

Przyjęte SKU zezwalają na zastosowanie konstrukcji, zgodnie z którą jedna, a nawet kilka nowych stron mogą przystąpić do SKU, o ile pozostałe strony, które zawarły wcześniej SKU wyrażą na to zgodę. W praktyce takie działanie wymaga, by zgoda wyrażona przez pozostałe strony SKU nie pozostawała w sprzeczności z obowiązującymi przepisami prawa. Przykładowo, jeśli obowiązujące prawo na to zezwala, jedna ze stron może zostać wyznaczona przez pozostałe strony do wyrażenia zgody na przystąpienie nowej strony w imieniu wszystkich wcześniej istniejących stron, a następnie celem zapewnienia, iż przystąpienie do umowy stało się skuteczne, strona będzie musiała wypełnić i podpisać niezbędne załączniki oraz klauzule.

5. Do jakich transferów możliwe jest zastosowanie nowych SKU?

Klauzule mogą być wykorzystywane zarówno przez administratorów, jaki podmioty przetwarzające, które zobowiązane są stosować przepisy RODO, celem przekazania danych osobowych do administratora lub podmiotu przetwarzającego znajdującego się poza Europejskim Obszarem Gospodarczym, których działalność nie podlega przepisom RODO.

W powyższym zakresie SKU przewidują zastosowanie czterech modułów do wyboru:

• MODUŁ 1 – służy do przekazywania danych osobowych od administratora danych do odrębnego administratora danych;
• MODUŁ 2 – służy do przekazywania danych osobowych od administratora danych do podmiotu przetwarzającego;
• MODUŁ 3 – służy do przekazywania danych osobowych od podmiotu przetwarzającego do dalszego podmiotu przetwarzającego;
• MODUŁ 4 – służy do przekazywania danych osobowych od podmiotu przetwarzającego do administratora danych.

6. Czy istnieje możliwość zawarcia równolegle kilku różnych modułów SKU pomiędzy tymi samymi podmiotami?

Tak, tj. jeżeli na podstawie stosunku umownego stron może dochodzić równolegle do różnych transferów danych, w których role stron w procesie przetwarzania również będą miały odmienny charakter – istnieje możliwość zawarcia kilku modułów SKU odpowiadających wymaganiom wynikającym z danego stanu faktycznego.

7. Czy SKU mogą być wykorzystywane do przekazywania danych osobowych organizacjom międzynarodowym?

Nie. Klauzule zostały opracowane z myślą o wykorzystaniu komercyjnym, co w przypadku organizacji międzynarodowych mogłoby powodować trudności z uwagi m.in. na fakt, iż organizacje międzynarodowe korzystające ze szczególnych przywilejów i immunitetów, wynikających np. z zawartych umów międzynarodowych, mogą nie być w stanie zaakceptować jurysdykcji organu ochrony danych lub sądu państwa członkowskiego Unii Europejskiej.

Źródło:https://commission.europa.eu/system/files/2022-5/questions_answers_on_sccs_en.pdf